内容を説明するための3つの特別許可のためのネットワークが短すぎるので、私は他の人が簡単に理解できるように、独自のテストの後に要約を書き、理解するためにチュートリアルの終了前にそれを見ていません
1つのSOUTH
前提:SUID機能用のファイルと何が制限されています
ディレクトリのSUIDに設定された権限のsetuidを設定する唯一の実行可能ファイルは、無効です。
ユーザーは、ファイル上のX(実行)の権限を持っていると思います。
ユーザーのファイルが実行されると、それはファイルの所有者として実行されます。
setuidアクセス権は、ファイルの実行時にのみ有効で、一度終了し、スイッチングのアイデンティティは姿を消しました。
1.1メソッドのパーミッション
1.1.1文字の設定方法
SUIDパーミッションを追加するためのchmodのu + sのファイル名は、
私たちに、ファイル名を削除するSUIDパーミッションをchmodコマンド
1.1.2デジタルの設定法
chmodの4 755名
例1.2のpasswd
passwdのコマンドは、コマンドLinuxシステムのパスワードを変更するために使用される。システムは、すべてのユーザーが使用することができます。
passwdのコマンドの振る舞いパスワードを変更するには、/ etc / shadowファイルを変更することによって達成される。
許可passwdのを見てみましょう
[root@linuxprobe ~]# cd /bin
[root@linuxprobe bin]# ls -l passwd
-rwsr-xr-x. 1 root root 27832 Jan 30 2014 passwd
あなたは(ルートは、すべてのユーザーのパスワードを変更することができます)SUIDの権限を表し、任意の通常のユーザーが、この場合には、自分のパスワードを変更することができ、最初の4はSで見ることができます
[user1@linuxprobe Desktop]$ passwd
Changing password for user user1.
Changing password for user1.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
その後、何が起こるか削除するには、passwd SUID許可場合user1のユーザーパスワードの変更は、成功したのですか?
[root@linuxprobe bin]# chmod u-s passwd
[root@linuxprobe bin]# ll passwd
-rwxr-xr-x. 1 root root 27832 Jan 30 2014 passwd
我々は再びUSER1のパスワードを変更します
[user1@linuxprobe Desktop]$ passwd
Changing password for user user1.
Changing password for user1.
(current) UNIX password:
New password:
Retype new password:
passwd: Authentication token manipulation error
ユーザーは、passwdコマンドを実行する権限を持っていますが、変更する/ etc / shadowファイルのアクセス権なしで、最終的なパスワードの変更は失敗しますが
、普通のユーザーは、passwdコマンドpasswdをがpasswdのは「プログラムのスポンサー」としてデフォルトで作成されたシステムの主要なプロセスです実行します所有者
の平均的なユーザーは、/ etc / shadowファイルを修正するには、root権限を使用して、実際にあるように、所有者は、passwdのルートです。最後のpasswdコマンドの実行が終了すると、passwdのプロセスが閉じられています。
2、SGID
SGIDは、次の2つの主要な機能を実現します:
1.(実行権限を持っているバイナリプログラムのための効果的な)持っているパフォーマーの一時的な許可がグループでみよう
そのディレクトリに作成2.ファイルが自動的に継承し、ディレクトリのユーザー・グループを
2.1メソッド許可
2.1.1文字の設定方法
SGIDのパーミッションを追加するためのchmod -R gが+ sのファイル名は
、ファイル名を削除するには、-R GS SGIDパーミッションをchmodコマンド
2.1.2デジタルの設定法
chmodの2 777名
2.2例
[root@linuxprobe Desktop]# ls -ld sgidd/
drwxrwxrwx. 2 root root 6 Jul 17 22:21 sgidd/
[root@linuxprobe Desktop]# chmod 2777 sgidd/
[root@linuxprobe Desktop]# ls -ld sgidd/
drwxrwsrwx. 2 root root 6 Jul 17 22:21 sgidd/
フォルダを追加するための最初のSGIDのパーミッション
[user1@linuxprobe sgidd]$ touch file1
[user1@linuxprobe sgidd]$ mkdir file2
[user1@linuxprobe sgidd]$ ll
total 0
-rw-rw-r--. 1 user1 root 0 Jul 17 22:36 file1
drwxrwsr-x. 2 user1 root 6 Jul 17 22:36 file2
スイッチング普通のユーザーは、ディレクトリ内のファイルやディレクトリを作成します。我々は2つのファイルが自動的に追加SGID許可を作成したグループSGIDフォルダとディレクトリを継承し、自動的に作成されて見ることができます。
3、SBIT
SBITの役割:
ディレクトリだけで、その所有者を削除する実行可能なディレクトリ内のファイルにSBIT権を設定されている場合は、効果的に他の人に悪意の損傷を防ぐことができます。
3.1メソッドのパーミッション
3.1.1文字の設定方法
chmodの-R O + tは、その名前のSGID権限に追加し
ます。chmod -Rファイル名を削除するには、OT SGID許可を
3.1.2デジタルの設定法
chmodの1 777名
3.2例
[root@linuxprobe Desktop]# mkdir sbitd
[root@linuxprobe Desktop]# chmod 1777 sbitd/
[root@linuxprobe Desktop]# ls -ld sbitd/
drwxrwxrwt. 2 root root 6 Jul 17 23:23 sbitd/
[root@linuxprobe Desktop]#
権限SBITでディレクトリを作成します。
[user1@linuxprobe sbitd]$ mkdir test
[user1@linuxprobe sbitd]$ ls -ld test
drwxrwxr-x. 2 user1 user1 6 Jul 17 23:29 test
ユーザーを切り替えるUSER1、ディレクトリのテストを作成
[user2@linuxprobe sbitd]$ rm -rf test
rm: cannot remove ‘test’: Operation not permitted
user2のユーザーを切り替え、ディレクトリテスト、原因SBITを削除し、動作することはできません示唆しています。